Polonya Kişisel Verileri Koruma Otoritesi, mBank’a, kişisel veri ihlali mağdurlarını bilgilendirmemesi sebebiyle 928.498,06 € idari para cezası vermiştir. Avrupa Veri Koruma Kurulu’nun internet sitesinde duyurulan kararda, ihlale konu bilgiler arasında müşteri adları, doğum tarihleri, banka hesap numaraları, adresleri ve kişisel kimlik numaraları gibi bilgilerin yer aldığı açıklanmıştır. Banka, belgelerin güvenilir bir iş ortağına gönderilmiş olduğu ve kopyalanmadığı savunmasında bulunmuş olsa da savunması yetersiz bulunmuş, GDPR’nin 34. maddesinin ihlal edildiğine hükmedilmiştir.
Söz konusu kararda ihlalin olası sonuçları ve alınabilecek önlemler hakkında bilgi verilmesi gerekliliği vurgulanmıştır.

Olayın Detayları
30 Haziran 2022 tarihinde, mBank’a ait müşteri verilerinin yanlışlıkla, bir başka bir finans kuruluşuna gönderildiği tespit edilmiştir. Gönderilen belgeler, bankaya geri dönmüş ancak zarfın açılmış olduğu fark edilmiştir. Bu nedenle, belgelerin üçüncü kişiler tarafından okunup okunmadığı kesin olarak belirlenememiştir.
İçeriğinde müşterilerin isimleri, soyadları, doğum tarihleri, banka hesap bilgileri, adresleri, kişisel kimlik numaraları (PESEL), gelir ve mal varlığı bilgileri gibi verilerin yer aldığı belgelerin yanlış adrese gitmesi ciddi bir güvenlik riski doğurmuştur. GDPR’ye göre, bu tür bir ihlalde banka, müşterilerini en kısa sürede bilgilendirmekle yükümlüdür.
Buna rağmen, banka, belgelerin yanlışlıkla, iş birliği yaptığı bir finans kuruluşuna gittiğini ve bu kuruluşun banka gizliliğine tabi, güvenilir bir alıcı olduğunu belirterek, müşterilere herhangi bir bilgilendirme yapmamıştır. Ancak Polonya Kişisel Verileri Koruma Otoritesi, bankanın bu yaklaşımını yeterli bulmamış ve veri ihlalinin mağdurlarına bildirilmesi gerektiğine hükmetmiştir. Kararda GDPR 9/2022 Rehberi’ne atıfta bulunulmuş olup bir kuruluşun güvenilir alıcı olarak kabul edilebilmesi için alıcı ile gönderici arasında uzun vadeli ve doğrudan bir ilişkinin bulunması gerektiğini vurgulamıştır.